Seguridad y seguridad funcional Guía general

Seguridad y seguridad funcionalGuía general

2 Seguridad y seguridad funcional | Folleto ABB 3AUA0000081820

Este documento es meramente informativo. La información y los ejemplos se facilitan sólo para uso general. No describen todos los detalles necesarios para la implementación de un sistema de seguridad. El fabricante de la maquinaria sigue siendo el responsable último de la seguridad y la conformidad del producto. ABB no acepta por ello ninguna responsabilidad por daños directos o indirectos o daños causados por el uso de la información contenida en este documento. El fabricante de la maquinaria siempre es responsable de la seguridad del producto y de su idoneidad conforme a las leyes vigentes. ABB se exime de cualquier responsabilidad derivada del uso de este documento.


Índice

Consideraciones previas ............................................................................................. 4

Introducción ................................................................................................................ 5

Dos nuevas normas

ISO 13849-1: por unas máquinas más seguras .......................................................6-7

EN 62061: para el diseño de sistemas eléctricos de seguridad .................................6-7

Cumplimiento de los requisitos de la Directiva Máquinas ...................................8-9

Pasos para cumplir los requisitos de la Directiva Máquinas

Paso 1: Evaluación y reducción de riesgos ...........................................................10-11

Paso 2: Establecimiento de los requisitos de seguridad ........................................12-13

Paso 3: Implementación de la seguridad funcional .................................................... 14

Paso 4: Verifi cación de la seguridad funcional ......................................................15-17

Paso 5: Validación de la seguridad funcional ............................................................ 18

Paso 6: Documentación de la seguridad funcional ..................................................... 18

Paso 7: Demostración de la conformidad ................................................................. 18

Glosario ................................................................................................................... 19


Consideraciones previas

Este documento pretende ser una ayuda a especificadores,

diseñadores, fabricantes y usuarios, así como al personal

implicado, para que comprendan mejor los requisitos de

la Directiva Europea Máquinas 2006/42/CE y las medidas

necesarias para respetar dicha directiva con sus normas

armonizadas.

Las leyes nacionales de la Unión Europea exigen que las

máquinas cumplan los Requisitos Esenciales de Seguridad

y Salud (EHSR, Essential Health and Safety Requirements)

defi nidos en la Directiva Máquinas 2006/42/CE. Las normas

armonizadas que desarrollan la Directiva son una de las

vías preferentes para mostrar la conformidad. Esto signifi ca

que todas las máquinas nuevas deben cumplir los mismos

requisitos legales al comercializarse en cualquier país de la UE.

Estas mismas normas gozan de reconocimiento en muchas

regiones extracomunitarias, por ejemplo mediante tablas de

equivalencias, lo que facilita el comercio de máquinas y su envío

entre países dentro de la UE e incluso fuera de sus fronteras.

La seguridad de las máquinas es de las áreas que mayor

crecimiento registra dentro de la automatización industrial. La

mejora e innovación en las estrategias de seguridad ofrecen

a los fabricantes una forma de mejorar su productividad y

competitividad en el mercado. La seguridad se convierte en

parte integral de la funcionalidad de las máquinas, dejando de

ser un añadido posterior para cumplir con la normativa.

Un área en claro auge


En el panorama actual de mercado cada vez es más patente la

necesidad de implementar sistemas de seguridad funcional medi-

ante procesos defi nidos, así como de utilizar subsistemas certifi -

cados que permitan obtener unos niveles de seguridad concretos.

Esta guía general describe las normas que es necesario conside-

rar a la hora de diseñar una máquina si se desea conseguir la

seguridad funcional. En ella se explica de forma general el

proceso necesario para cumplir los requisitos de la Directiva

Máquinas 2006/42/CE y cómo se obtiene el marcado CE, que

indica la conformidad de las máquinas con estos requisitos.

En el contexto de esta guía, la seguridad tiene el cometido de

evitar daños a las personas. La seguridad funcional lo hace

posible a través de sistemas que reducen la probabilidad de que

se produzcan situaciones indeseadas.

Las normas de seguridad la defi nen como la no existencia de

riesgos inaceptables. La forma más efectiva de eliminar riesgos es

hacerlo en la fase de diseño. Sin embargo, no siempre es práctico

o posible reducir los riesgos en esta fase, por lo que a menudo la

mejor opción, por diferentes razones, es el uso de protecciones

fi jas. La detención de una máquina de forma rápida y segura no

sólo reduce los riesgos, también aumenta la productividad y el

tiempo en servicio en comparación con las paradas de seguridad

bruscas. Del mismo modo, se cumple con las obligaciones

legales y se garantiza la seguridad de las personas y del entorno.

En el caso de las máquinas, la seguridad funcional suele ser sinó-

nimo de sistemas fi ables que monitorizan las aplicaciones de la

máquina, llegando a asumir el control si el funcionamiento seguro

se viera comprometido. Por lo tanto, un sistema de este tipo

implementa las funciones de seguridad necesarias para detectar

situaciones de peligro y para que el funcionamiento tenga lugar

dentro de los límites de seguridad.

La monitorización del sistema de seguridad engloba aspectos

como la velocidad de la máquina, la dirección de giro, la parada

o el estado de reposo. Al ejecutar una función de seguridad,

como por ejemplo la monitorización de una velocidad de marcha

lenta que se ha desviado del valor previsto (es decir, demasiado

rápida), el sistema detecta dicha desviación y devuelve la máquina

al estado de funcionamiento seguro mediante, por ejemplo, una

parada segura y la eliminación del par del eje del motor.

Cualquier fallo en el sistema de seguridad incrementará automáti-

camente los riesgos inherentes al funcionamiento de la máquina.

Papel de la Directiva Máquinas 2006/42/CE

La Directiva Máquinas, junto con las normas armonizadas que la

desarrollan, defi ne los Requisitos Esenciales de Seguridad y Salud

(EHSR) para maquinaria en el marco de la Unión Europea. El ob-

jetivo de la Directiva Máquinas es garantizar que una máquina se

ha diseñado y fabricado para ser segura de forma que pueda ser

utilizada, confi gurada y mantenida a lo largo de todas las fases de

su vida útil, minimizando los riesgos a las personas y al entorno.

Los EHSR establecen que los fabricantes de las máquinas tienen

la obligación de aplicar los siguientes principios en el orden

establecido:

– Eliminar o minimizar peligros en la medida de lo posible

teniendo en cuenta los aspectos de seguridad en las fases

de diseño y fabricación de la máquina.

– Aplicar las medidas de protección necesarias para hacer frente

a los peligros que no es posible eliminar.

– Informar a los usuarios acerca de los riesgos aún existentes

a pesar de la aplicación de todas las medidas de protección

posibles, y especifi car los requisitos relativos a la formación o

al equipo de protección personal.

IntroducciónSeguridad y seguridad funcional


Dos normas ISO e IEC

Dos nuevas normas

Los fabricantes de maquinaria que necesiten implementar sistemas de seguridad funcional conforme

a la Directiva Máquinas pueden utilizar como referencia cualquiera de las dos normas europeas

desarrolladas por la Organización Internacional para la Normalización (ISO, International Organization

for Standardization) y por la Comisión Electrotécnica Internacional (IEC, International Electrotechnical

Commission). Dichos organismos han promovido la elaboración de la EN ISO 13849-1 y la EN 62061

respectivamente. La EN 62061 sólo es aplicable a sistemas de mando eléctricos. Ambas reemplazan

la norma anterior, la EN 954-1, que quedará obsoleta el 31 de diciembre de 2011, tras un periodo

de transición admisible de 3+2 años. Además, ambas engloban los preceptos básicos de seguridad

de las normas para maquinaria relativos a la minimización de riesgos (EN ISO 12100-1:2003) y a la

evaluación de riesgos para su reducción (EN ISO 14121-1:2007). La fi gura 1 ilustra esta jerarquía.

Las normas para sistemas de seguridad electrónicos se denominan formalmente: EN ISO 13849-

1:2008 (Seguridad de las máquinas. Partes de los sistemas de mando relativas a la seguridad.

Principios generales para el diseño), y EN 62061:2005 (Seguridad de las máquinas. Seguridad

funcional de sistemas de mando eléctricos, electrónicos y electrónicos programables relativos a

la seguridad para máquinas). Las referencias a estas normas citadas en este documento siempre

remiten a las versiones que se acaban de mencionar.

Los fabricantes pueden optar por utilizar –si es necesario– una de las dos normas para sistemas de

seguridad (es decir, la ISO 13849-1 o la EN 62061). Sin embargo, para garantizar la coherencia, se

recomienda tomar como referencia la misma norma a lo largo de todo el proceso.

El uso como referencia de cualquiera de las normas ofrece unos resultados muy similares, y tanto los

niveles de integridad de la seguridad (SIL) como los niveles de prestaciones (PL) son comparables (véase la

Tabla 7). Este documento incluye ejemplos de integridad/prestaciones de seguridad para ambas normas.

ISO 13849-1: por unas máquinas más seguras

La ISO 13849-1 facilita instrucciones para que los diseñadores fabriquen máquinas seguras. Dichas

instrucciones incluyen recomendaciones para el diseño, la integración y la validación de sistemas. La

norma puede utilizarse para partes de los sistemas de mando relativas a la seguridad y varios tipos de

maquinaria, con independencia de la tecnología o la fuente de energía utilizada. Esto incluye también los

requisitos especiales para partes relativas a la seguridad que cuentan con sistemas electrónicos progra-

mables. Por lo tanto, esta norma cubre la totalidad de la cadena de seguridad en todos los dispositivos

incluidos (es decir, una cadena de seguridad completa como por ejemplo sensor-lógica-actuador).

Nota: De acuerdo con la

convención utilizada en la lista

de normas armonizadas, las

normas EN ISO se presentan

utilizando también la marca

‘ISO’. Las normas EN IEC se

presentan sin ‘IEC’, es decir,

sólo con EN. Este documento

se atiene a dicha convención.

Nota: En las normas

encontrará una tabla que

explica la idoneidad de las

dos nuevas normas para

el diseño de sistemas con

tecnologías concretas.

Fig. 1.

Proceso para la creación de unsistema seguro

Conceptos básicosy terminología:EN ISO 12100Evaluación de riesgos ISO 14121-1

1. Sistema de seguridad2. Máquina segura 3. Marcado CE

Fab

ricante

s d

e m

aq

uin

aria

2005 11/2006 11/2009

EN 954-1

EN ISO 13849-1

EN 62061

Periodo de transición

12/2009

Primera fecha límite

12/2011

Nueva Directiva

Máquinas

Periodo de transición ampliado

Norma para la creación de un sistema de seguridad: EN 62061

Norma para la creación de un sistema de seguridad: EN ISO 13849-1


Nivel de prestaciones (PL)

La ISO 13849-1 defi ne cómo determinar el nivel de prestaciones (PL) requerido y cómo verifi car el PL

alcanzado en el sistema. El PL describe la forma en que un sistema de seguridad es capaz de llevar

a cabo una función de seguridad en situaciones predecibles. Hay cinco PL posibles: a, b, c, d y e. El

nivel ‘e’ representa la mayor fi abilidad de seguridad y el ‘a’, la menor. Véase el ejemplo de la página 13.

EN 62061: para el diseño de sistemas eléctricos de seguridad

La EN 62061, una norma específi ca para el sector de la maquinaria en el marco de la IEC 61508, es

la norma utilizada para el diseño de sistemas de seguridad eléctricos. Incluye recomendaciones para

el diseño, la integración y la validación de sistemas de mando eléctricos, electrónicos y electrónicos

programables relativos a la seguridad para máquinas.

La EN 62061 también cubre la totalidad de la cadena de seguridad, esto es, sensor-lógica-actuador.

No es necesario certifi car los subsistemas individuales si la función de seguridad en su conjunto

cumple los requisitos defi nidos.

Nivel de integridad de la seguridad (SIL)

La EN 62061 defi ne cómo determinar el Nivel de Integridad de la Seguridad (SIL). El SIL representa

la fi abilidad de las funciones de seguridad. Hay cuatro niveles SIL posibles: 1, 2, 3, y 4. ‘SIL 4’

corresponde al nivel más alto de integridad de la seguridad y ‘SIL 1’, al más bajo. En el caso de la

maquinaria, sólo se utilizan los niveles de 1 a 3. Véase el ejemplo de la página 12.

Nota: Al contrario que la

ISO 13849-1, la EN 62061

no incluye los requisitos

para equipos de mando

no eléctricos relativos a la

seguridad para maquinaria.


Cumplimiento de los requisitos de la Directiva Máquinas

La Directiva Máquinas 2006/42/CE exige que la maquinaria sea segura. Sin embargo, dado que en

la práctica nunca puede conseguirse un riesgo nulo, el objetivo es minimizarlo. La conformidad con

este propósito se consigue si:

– se cumplen los requisitos establecidos en las normas armonizadas, o

– un organismo autorizado efectúa un examen para la aprobación de la máquina

Consecución y gestión de la seguridad funcional

La consecución de la seguridad funcional conforme a los EHSR de la Directiva Máquinas, es decir,

la primera de las dos alternativas que se acaban de plantear, implica diversos pasos. En todos ellos

debe considerarse el sistema en su conjunto, así como el entorno con el que interactúa. Dichos

pasos incluyen la evaluación de riesgos, la identifi cación de las funciones de seguridad necesarias,

la reducción de riesgos mediante la implementación de la función de seguridad y la garantía de que

esta función actuará como se espera.

Es obligatorio gestionar todas las actividades de seguridad funcional a lo largo del ciclo de vida de la

máquina. Para cumplir estos fi nes, puede ser benefi cioso contar con una gestión del proyecto y con

un sistema de gestión de la calidad, y que ello se plasme en un plan de seguridad.

Plan de seguridad

En la EN 62061 se especifi ca un plan de seguridad para cumplir con los requisitos de la Directiva

Máquinas. En él se identifi can todas las actividades relevantes, se describen las políticas y

las estrategias encaminadas a satisfacer los requisitos de seguridad funcional, se identifi can

responsabilidades, se identifi can o establecen procedimientos y recursos para la documentación,

se describe una estrategia para la gestión de la confi guración y se incluyen planes para la verifi cación

y la validación. Este plan debe ser diseñado y documentado para cada sistema de seguridad,

y actualizarse siempre que sea necesario.

Una vez se ha elaborado un plan de seguridad conforme a la EN 62061, puede proseguirse con

aspectos más prácticos. El proceso a seguir se resume en la Tabla 1, y comienza con la evaluación

y reducción de riesgos.

Tabla 1. Pasos para el cumplimento de los requisitos de la Directiva Máquinas relativos a la seguridad

funcional. Cada uno de los siete pasos se explica de forma detallada más adelante.

Nota: Al contrario que la

EN 62061, la ISO 13849-1 no

especifi ca las actividades del

plan de seguridad enumeradas

anteriormente. Sin embargo,

son necesarias actividades

semejantes para cumplir

totalmente con los requisitos

de la Directiva Máquinas.

Tabla 1.

Paso Tarea

Paso 1: Evaluación y reducción de riesgosAnalizar riesgos y evaluar cómo eliminarlos o minimizarlos(estrategia en 3 pasos, véase la EN ISO 12100-1)

Paso 2: Establecimiento de los requisitos de la función de seguridad

Defi nir la funcionalidad y la prestación de seguridad necesarias para eliminar el riesgo o reducirlo hasta un nivel aceptable.

Paso 3: Implementación de la seguridad funcional Diseñar y crear las funciones del sistema de seguridad

Paso 4: Verifi cación de la seguridad funcional Garantizar que el sistema de seguridad cumple los requisitos defi nidos

Paso 5: Validación de la seguridad funcionalVolver a la evaluación de riesgos para asegurarse de que el sistema de seguridad realmente sirve para reducir los riesgos como se espera

Paso 6: Documentación de la seguridad funcional Documentar el diseño y elaborar documentación para el usuario

Paso 7: Demostración de la conformidadDemostrar la conformidad de la máquina con los EHSR de la Directiva Máquinas mediante evaluaciones de conformidad y documentos técnicos


Paso 1: Evaluación y reducción de riesgos

Evaluación de riesgos

La evaluación del riesgo es un proceso que analiza y valora los riesgos, que son considerados como

una combinación de la consecuencia del daño y la probabilidad de que se produzca este daño ante la

exposición a un peligro. Según la nueva Directiva Máquinas 2006/42/CE, es obligatorio llevar a cabo una

evaluación de riesgos de la máquina, y los resultados deben tenerse en cuenta a la hora de diseñarla.

Cualquier riesgo que se considere "elevado" debe reducirse a un nivel aceptable mediante cambios

en el diseño o aplicando las medidas de seguridad apropiadas. El proceso de evaluación ayuda a que

los diseñadores conciban una maquinaria intrínsecamente segura. La evaluación de los riesgos en la

fase de diseño es muy importante, pues suele resultar más efectivo que proporcionar instrucciones al

usuario acerca de cómo operar el equipo de forma segura. Conforme a la ISO 12100-1 (pertenece al

grupo de normas que tratan la seguridad de las máquinas y la minimización del riesgo, véase la Fig. 1), la

evaluación de riesgos consta de dos partes: el análisis de riesgos y la valoración de riesgos. Por análisis

de riesgos entendemos identifi car y estimar los riesgos, mientras que la valoración de riesgos se refi ere a

decidir si el riesgo es aceptable, o si es necesaria una reducción.

Por lo tanto, la valoración de riesgos depende de los resultados de su análisis. De forma análoga,

las decisiones referentes a la necesidad de reducir los riesgos se toman de acuerdo con el

procedimiento de valoración de riesgos. Nótese que la valoración de riesgos debe ser realizada de

forma independiente para cada peligro identifi cado.

La Fig. 2 ofrece de forma resumida los pasos para el análisis y la valoración de riesgos conforme a

la ISO 14121-1, que pertenece al grupo de normas que tratan la seguridad de las máquinas, y que

describen la evaluación de riesgos para su reducción (véase la Fig.1).

Los límites de la máquina a los que se hace referencia en la Fig. 2 incluyen los límites de uso, los

límites espaciales, los ambientales o del entorno, y los relativos a la vida útil. La estimación de la

gravedad de los riesgos abarca sus posibles consecuencias, mientras que la probabilidad de los

riesgos incluye la frecuencia, la probabilidad y la evitabilidad.

Si el resultado del análisis y la valoración de los riesgos conforme a la Fig. 2 es SÍ, se considera que

se ha cumplido el objetivo de reducción de riesgos, y el proceso se da por terminado. En este caso,

la máquina ha alcanzado el nivel de seguridad adecuado requerido por la Directiva Máquinas.

Si el resultado es NO, es decir, el riesgo sigue siendo inaceptable, deben aplicarse medidas para la

reducción de riesgos y volver al Paso 2 del análisis.

Fig 2. Evaluación y valoración

de riesgos conforme a la ISO

14121-1. Documente siempre

este proceso y sus resultados

para cada peligro concreto.

Evaluación y reducción de riesgos

1. Determine los límites/el uso previsto de la máquina

2. Identifi que los peligros

3. Estime los riesgos presentes de forma conjunta . – Gravedad y probabilidad

4. Evalúe el riesgo. ¿Es lo sufi cientemente bajo? No

Sí

Fin

Fig. 2.


Reducción de riesgos

La forma más efectiva de eliminar riesgos es hacerlo en la fase de diseño, por ejemplo, cambiando el

diseño de la máquina o el proceso de trabajo.

Sin embargo, si esto no fuera posible, deben reducirse los riesgos y asegurarse su conformidad con

los requisitos de la Directiva Máquinas mediante la aplicación de las normas armonizadas en ella

contenidas. La ISO 12100-1 divide el método para la reducción de riesgos en tres pasos principales:

– Medidas de diseño intrínsecamente seguras (creación de un diseño más seguro, cambio del proceso).

– Medidas de protección y salvaguarda complementarias (funciones de seguridad, protección fi ja).

– Información para el uso (dispositivos, señales y signos de aviso en la máquina y en las instrucciones

de funcionamiento, medidas de protección tomadas por el usuario para formación de ejemplo).

La Fig. 2 ilustra este fl ujo de trabajo en tres pasos para la reducción de riesgos.

Reducción de riesgos de la Fig. 2 conforme a la ISO 12100-1. Documente siempre los riesgos

residuales (persistentes) en las instrucciones de funcionamiento.

El último aspecto (información sobre el uso) es denominado gestión de riesgos residuales. El

riesgo residual es aquel que persiste una vez se han tenido en cuenta e implementado todas

las medidas de protección. Las medidas tecnológicas por sí mismas nunca son capaces de

conseguir eliminar totalmente los riesgos, por lo que siempre hay algún riesgo residual. Estos

riesgos deben documentarse en las instrucciones de funcionamiento.

Las organizaciones y los usuarios de las máquinas desempeñan un importante papel en la

reducción de riesgos y suelen recibir información de interés facilitada por el diseñador de la máquina

(fabricante). Las medidas de reducción más comunes tomadas por una organización incluyen:

– La implementación de procesos de trabajo seguros, de supervisión del trabajo y de

sistemas de control de los permisos necesarios para trabajar.

– La disposición y el uso de protecciones adicionales.

– El uso de equipos de protección personal.

– La formación del personal.

– Asegurarse de que las instrucciones de seguridad y de funcionamiento han sido leídas y se

actúa conforme a ellas.

Tras poner en práctica la reducción de riesgos, es obligatorio revisarla para garantizar que se toman

las medidas adecuadas para reducir el riesgo a un nivel apropiado. Repita el proceso de evaluación

de riesgos para conseguirlo.

Las organizaciones/los

usuarios de las máquinas

son una valiosa fuente de

feedback sobre la seguridad, y

los diseñadores deben recoger

esta información al defi nir

medidas de protección.

Método de reducción de riesgosen 3 pasos

3. ¿Reducción del riesgo mediante proceso e información? No

Sí

Fin

2. ¿Reducción del riesgo mediante seguridad funcional? Sí No

1. ¿Reducción del riesgo mediante diseño y seguridad? Sí No


Paso 2: Establecimiento de los requisitos de seguridad

Funciones de seguridad

Una función de seguridad es una función de una máquina cuyo fallo puede provocar un aumento

inmediato del riesgo. Explicado de forma sencilla, es una medida que se toma para reducir las

probabilidades de que tenga lugar un evento indeseado y haya una exposición al riesgo. Una función

de seguridad no es parte del funcionamiento de la máquina: si esta función falla, la máquina sigue

funcionando normalmente, pero el riesgo de lesión asociado a su funcionamiento aumenta.

La defi nición de una función de seguridad es vital. Ésta siempre incluye dos componentes:

– Acción (lo que debe hacerse para reducir el riesgo).

– Prestaciones de seguridad (SIL o PL, Nivel de Integridad de la Seguridad y Nivel de Prestaciones

respectivamente).

Ejemplo de función de seguridad:

Peligro: un eje en giro desprotegido puede lesionar a una persona que se acerque demasiado.

Acción: para evitar que alguna persona resulte herida, el motor debe pararse en un máximo de un

(1) segundo tras la apertura de la puerta de seguridad. Una vez se ha identifi cado la función de

seguridad que ejecuta la acción, el nivel de seguridad que requiere se determina de acuerdo con lo

explicado más adelante. De esta forma fi naliza la defi nición de la función de seguridad.

Integridad/prestaciones de seguridad

La integridad de la seguridad mide las prestaciones de una función de seguridad. Ayuda a cuantifi car

la probabilidad de que active la función de seguridad cuando así se solicita. La integridad de la

seguridad que requiere una función se determina durante la evaluación de riesgos y se representa

mediante el SIL o PL alcanzado, en función de la norma utilizada. El SIL y el PL recurren a técnicas

de valoración diferentes para la función de seguridad, pero sus resultados son equiparables y los

términos y defi niciones son similares en ambos.

Nota: Es obligatorio especifi car,

verifi car (prestaciones de

seguridad y funcionalidad) y

validar la función de seguridad

para cada uno de los peligros

identifi cados.

Es necesario especifi car las

protecciones adicionales

una vez se ha obtenido la

reducción de riesgos que se

puede conseguir mediante

cambios en el diseño. Esta

medida adicional de reducción

de riesgos utiliza soluciones de

seguridad funcional.

Probabilidad de que se produzca el daño

Fr

Frecuencia, duración

Pr

Probabilidad del evento peligroso

Av

Evitabilidad

<= hora 5 Muy alta 5

> 1h <= día 5 Probable 4

> día <= 2 sem. 4 Posible 3 Imposible 5

> 2 sem.<= 1 año 3 Poco probable 2 Posible 3

> 1 año 2 Despreciable 1 Probable 1

Total: 5 + 3 + 3 = 11

Gravedad del daño Clasifi cación SIL

Se

Consecuencias (gravedad)

Clasifi cación CI

3-4 5-7 8-10 11-13 14-15

Muerte, pérdida de un ojo o un

miembro

4 SIL2 SIL2 SIL2 SIL3 SIL3

Permanente, pérdida de dedos 3

Otras medidas

SIL1 SIL2 SIL3

Reversible, atención médica 2 SIL1 SIL2

Reversible, primeros auxilios 1 SIL1

Es necesaria una función de seguridad SIL2.

Tabla 2.Tabla 2. Tabla de asignación

del SIL en que se muestra

el procedimiento para la

determinación de la integridad

de la seguridad. El resultado

fi nal del ejemplo anterior es de

SIL 2.


Ejemplo:

La Tabla 2 muestra una tabla de asignación del SIL que contiene los parámetros utilizados para

determinar los valores numéricos en el ejemplo de un análisis de peligros realizado para un eje en

giro desprotegido.

– Una persona está expuesta al peligro varias veces al día. Por lo tanto, la frecuencia (Fr) es alta = 5.

– Es posible que el peligro se haga realidad. En consecuencia, la probabilidad (Pr) = 3.

– El peligro es evitable, así que la evitabilidad (Av) = 3.

– La suma de Fr, Pr y Av (5 + 3 + 3) = 11.

– La consecuencia determinada del peligro es una lesión permanente, con posible pérdida

de dedos. Por lo tanto, la gravedad (Se) = 3.

Determinación del PL requerido (ISO 13849-1)

El PL es un parámetro alternativo al SIL. Para determinar el PL requerido, seleccione una de las

alternativas de entre las siguientes categorías y cree una "ruta" hasta el PL requerido en el gráfi co

de riesgos (Fig. 3), que clasifi ca el nivel de prestaciones como a, b, c, d ó e.

Determine la gravedad de la lesión/del daño:

– S1 Leve, lesión normalmente reversible

– S2 Grave, lesión normalmente irrreversible, incluida la muerte

Determine la frecuencia y la duración de la exposición al peligro:

– F1 Entre poco probable y frecuente y/o exposición breve

– F2 Entre frecuente y continua y/o exposición larga

Determine la posibilidad de evitar el peligro o de limitar el daño ocasionado:

– P1 Posible bajo ciertas condiciones

– P2 Prácticamente imposible

Ejemplo:

Análisis de peligros de un eje en giro desprotegido.

– La consecuencia es una lesión grave e irreversible. Gravedad = S2.

– Una persona está expuesta varias veces al día. Frecuencia = F2.

– Es posible evitar o limitar el daño ocasionado. Posibilidad = P1.

La ruta lleva a un valor de PL requerido (PLr) d. Fig 3.

Como puede verse en la Tabla

2, el resultado fi nal es de SIL 2.

Las tablas utilizadas para

determinar estos valores

forman parte de la norma.

Tras haber defi nido el SIL

requerido, es posible iniciar la

implementación del sistema

de seguridad (véase el Paso

3: Implementación de la

seguridad funcional).

Fig. 3 Gráfi cos de riesgos

del PL en los que se muestra

el procedimiento para la

determinación del nivel de

prestaciones de seguridad.

El resultado fi nal del ejemplo

anterior es de PL d.

Determinación del SIL requerido (EN 62061)

El proceso es el siguiente:

1. Determine la gravedad de las consecuencias de un evento peligroso.

2. Determine el valor numérico para la frecuencia y el tiempo durante el cual la persona está

expuesta al daño.

3. Determine el valor numérico para la probabilidad de que el evento peligroso tenga lugar

durante la exposición al peligro.

4. Determine el valor numérico para la posibilidad de evitar o limitar el alcance del daño.

Al igual que con el SIL, las tablas utilizadas para determinar los valores

forman parte de la norma. Del mismo modo, una vez se ha defi nido

el PLr, es posible iniciar la implementación del sistema de seguridad. empezar aquí

Bajo riesgor

A PL Cfunción deseguridadrequerida

Bajo riesgo


Para fabricar una función de seguridad, su diseño debe cumplir el SIL/PL requerido que se especifi ca

en el Paso 2: Establecimiento de los requisitos de seguridad. El uso de subsistemas certifi cados al

fabricar sistemas de seguridad funcional puede ahorrar mucho trabajo a los diseñadores de dichos

sistemas. Por ejemplo, la implementación de funciones de seguridad resulta más conveniente una

vez se han realizado ciertos cálculos de seguridad y fi abilidad y los subsistemas están certifi cados.

Los procesos de implementación y verifi cación son iterativos y se desarrollan en paralelo. Utilice

la verifi cación como herramienta durante la implementación para asegurarse de que se alcanza

el nivel de seguridad defi nido con el sistema implementado. Si desea más información acerca de

la verifi cación, consulte el Paso 4: Verifi cación de la seguridad funcional. Existen en el mercado

diversos programas de software de cálculo para la verifi cación de sistemas de seguridad funcional.

Con estos programas, la creación y verifi cación del sistema resulta más cómoda.

Los pasos generales para la implementación de un sistema de seguridad funcional son:

1. Defi nir los requisitos de seguridad como SIL o PL conforme a la norma EN 62061 o a la

EN ISO 13849-1.

2. Seleccionar la arquitectura del sistema que va a utilizarse para el sistema de seguridad. Las

normas ISO 13849-1 y EN 62061 ofrecen arquitecturas básicas con fórmulas de cálculo.

Determinar la categoría B, 1, 2, 3 o 4 de acuerdo con la clasifi cación de la ISO 13849-1, o

la arquitectura designada A, B, C o D de acuerdo con la EN 62061. Esto debe hacerse tanto

para los subsistemas como para el sistema en su conjunto. Para obtener más información sobre

las arquitecturas designadas, consulte las normas pertinentes.

3. Fabricar el sistema a partir de subsistemas de seguridad: sensor/interruptor, entrada, lógica,

salida y actuador.

Utilice subsistemas certifi cados (se recomienda encarecidamente) o realice cálculos de

seguridad para cada subsistema. Sume los niveles de seguridad de los subsistemas para

establecer el nivel de seguridad de la totalidad del sistema. La Fig. 4 muestra la estructura

de una función de seguridad.

4. Instalar el sistema de seguridad. Es necesario que el sistema se instale de forma adecuada para

evitar un posible fallo común a causa de un cableado indebido, por razones medioambientales o

por otros factores. Un sistema de seguridad que no realiza su tarea correctamente por culpa de

una instalación defi ciente carece de utilidad. Incluso puede llegar a suponer un riesgo.

Paso 3: Implementación de la seguridad funcional

Nota: Si no se utilizan

subsistemas certifi cados,

puede ser necesario llevar a

cabo cálculos de seguridad

para cada subsistema.

Las normas EN 62061

e ISO 13849-1 incluyen

información sobre el proceso

y los parámetros de cálculo

necesarios.

Nota: Para cumplir con los

EHSR fi jados por la Directiva

Máquinas, es obligatorio que

todos los subsistemas de un

sistema de seguridad funcional

satisfagan como mínimo el

valor SIL/PL requerido por el

sistema.

Fig. 4

Finales de carrera Lógica de seguridad + E/S Actuador(safe torque-off, STO)

Subsystem 1 Subsystem 2 Subsystem 3


Paso 4: Verifi cación de la seguridad funcional

Paso 4: Verificación de la seguridad funcional

Verifi cación del SIL del sistema de seguridad (EN 62061)

Verifi que los niveles de integridad de la seguridad comprobando que las prestaciones de seguridad

de la función de seguridad creada (es decir, su fi abilidad) son iguales o mayores al objetivo de

prestaciones requerido fi jado durante la valoración de riesgos. De nuevo se recomienda el uso de

subsistemas certifi cados, ya que su fabricante ya ha defi nido valores para determinar la integridad de

seguridad sistemática (SILCL) y la integridad de seguridad aleatoria del hardware (PFHd).

Para verifi car el SIL de sistemas de seguridad en que se utilizan subsistemas certifi cados:

1. Determine la integridad de seguridad sistemática del sistema mediante los valores del límite de

solicitud de SIL (SILCL, SIL Claim Limit) defi nidos para los subsistemas.

El SILCL es el valor máximo del SIL para el que el subsistema es estructuralmente adecuado.

El SILCL es un indicador para la determinación del SIL alcanzado: el SILCL de todo el sistema

no puede ser mayor que el SILCL del subsistema de menor entidad.

2. Calcule la integridad de seguridad aleatoria del hardware para el sistema mediante los valores

de Probabilidad de fallo peligroso por hora (PFHd, Probability of a dangerous Failure per Hour)

defi nidos para los subsistemas. La PFHd es el valor de fallo aleatorio del hardware que se utiliza

para determinar el SIL. Habitualmente, los fabricantes de subsistemas certifi cados facilitan

valores de PFHd para sus sistemas.

3. Utilice la lista de comprobación de Fallos por Causa Común (CCF) para asegurarse de que se

han tenido en cuenta todos los aspectos necesarios a la hora de crear los sistemas de

seguridad. Las tablas con listas de comprobación de CCF pueden consultarse en la norma

EN 62061, Anexo F.

4. Calcule los puntos según la lista y compare el resultado fi nal con los valores enumerados en la

norma EN 62061 Anexo F, Fig. 6 y con los resultados de la Tabla 4 en el factor CCF (β). Este

valor se utiliza para estimar el valor de probabilidad de PFHd.

5. Determine el SIL alcanzado con ayuda de la Tabla 3.


Ejemplo:

Verifi cación del SIL del sistema de seguridad funcional de un eje

en giro (Fig. 5).

Integridad de seguridad sistemática:

SILCLsis ≤ (SIL CLsubsistema)inferior -> Límite de solicitud 2 de SIL

Integridad de seguridad aleatoria del hardware:

PFHd = PFHd1+PFHd2+PFHd3 = 2,5 x 10-7 < 10-6

El sistema cumple con el SIL 2 según la Tabla 3.

Tabla 3. Determine el SIL de acuerdo con el valor de PFHd

obtenido para todo el sistema de seguridad. En el ejemplo

anterior, el sistema obtiene un SIL 2.

Verifi cación del PL del sistema de seguridad (ISO 13849-1)

Para verifi car el nivel de prestación, compruebe que el PL de

la función de seguridad correspondiente concuerda con el

PLr requerido. Si la función de seguridad está formada por

varios subsistemas, sus niveles de prestaciones deben ser

iguales o mayores que el nivel de prestaciones requerido para

la función de seguridad. Se recomienda el uso de subsistemas

certifi cados, pues ya tendrán defi nidos sus valores de

prestaciones de seguridad.

Para verificar el PL de un sistema de seguridad en que

se utilizan subsistemas certificados:

Determine la susceptibilidad del sistema a Fallos por Causa

Común (CCF) mediante la lista de comprobación de CCF. La

puntuación mínima requerida es de 65 puntos. (Las tablas con

listas de comprobación de CCF pueden consultarse en la norma

ISO 13849-1:2008, Anexo I).

Determine el PL alcanzado con ayuda del gráfi co de barras y

utilizando los valores establecidos para:

– La categoría

– El tiempo medio hasta un fallo peligroso (MTTFd, Mean

Time To dangerous Failure)

– La cobertura del diagnóstico (DC, Diagnostic Coverage)

El MTTFd es el tiempo medio que transcurre hasta que tiene

lugar un fallo peligroso. La DC hace referencia al número de

fallos peligrosos que pueden detectarse mediante diagnóstico.

Encontrará más información relativa a los detalles de los

cálculos en la norma ISO 13849-1.

Introduzca los valores resultantes en el gráfi co de PL (Fig. 6),

a partir del cual puede determinarse el PL obtenido.

SIL Probabilidad de fallos peligrosos por hora (1/h)

SIL 1 ≥ 10-6 hasta < 10-5

SIL 2 ≥ 10-7 hasta < 10-6

SIL 3 ≥ 10-8 hasta < 10-7

Tabla 3. Se muestran los valores del modo de alta demanda.

Fig. 5

Cat. B

DCmed

ninguno

Cat. 1

DCmed

ninguno

Cat. 2

DCmed

bajo

Cat. 2

DCmed

medio

Cat. 3

DCmed

bajo

Cat. 3

DCmed

medio

Cat. 4

DCmed

alto

Fig. 6

a

b

c

d

e

Bajo

Medio

Alto

PL

MTTFd: Bajo 3 años ≤ MTTFd < 10 años

Medio 10 años ≤ MTTFd < 30 años

Alto 30 años ≤ MTTFd ≤ 100 años

Nota: El valor del MTTFd por canal

puede ser como máximo de 100 años.

El MTTFd de un componente sencillo

(subsistema) puede ser mayor

Finales de carrera Lógica de seguridad + E/S Actuador(safe torque-off, STO)


Ejemplo de verificación del PL:

Verifi cación del sistema de seguridad funcional de un eje en giro

(Fig. 6).

Fig. 6. Verifi cación del PL para el ejemplo del eje en giro. En el

ejemplo anterior, el sistema obtiene un PL d.

Para conseguir el PLr definido en ejemplo anterior:

– La arquitectura designada es de la Categoría 3.

– El valor de MTTFd es alto.

– El valor medio de DC es bajo.

Por lo tanto, el sistema tiene un valor de PL d de acuerdo con la

Fig. 6. La Tabla 4 muestra cómo determinar el PL en función del

valor de PFHd obtenido para todo el sistema de seguridad. El

resultado (d) es el mismo.

Comparación de los valores de SIL y de PL

Aunque los métodos de evaluación son diferentes para cada

norma, los resultados son comparables en función del fallo

aleatorio de hardware, como puede verse en la Tabla 5.

PL Probabilidad de fallos peligrosos por hora (1/h)

a ≥ 10-5 hasta < 10-4

b ≥ 3 x 10-6 hasta < 10-5

c ≥ 10-6 hasta < 3 x 10-6

d ≥ 10-7 hasta < 10-6

e ≥ 10-8 hasta < 10-7

Tabla 4. Determine el valor de PL en función del valor de PFHd

Nivel de integridad de la

seguridad SIL

Nivel de prestaciones PL

Sin correspondencia a

SIL 1 b

SIL 1 c

SIL 2 d

SIL 3 e

Tabla 5. Comparación de los valores de SIL y de PL


Pasos 5, 6 y 7

Paso 5: Validación de la seguridad funcional

Es obligatorio validar cada función de seguridad para garantizar que reduce el riesgo conforme a lo

requerido/defi nido en el Paso 1: Evaluación y reducción de riesgos.

Para determinar la validez del sistema de seguridad funcional, cotéjelo con el proceso de evaluación

de riesgos llevado a cabo al inicio del procedimiento para el cumplimiento de los EHSR de la

Directiva Máquinas. El sistema es válido si realmente reduce los riesgos analizados y evaluados en

este proceso.

Paso 6: Documentación de la seguridad funcional

Antes de que la máquina pueda cumplir los requisitos de la Directiva Máquinas, es necesario

documentar su diseño y elaborar la documentación para el usuario pertinente.

La documentación debe redactarse con rigor. Debe ser exacta y concisa, pero al mismo tiempo informativa

y fácil de entender por el usuario. La documentación para el usuario debe incluir todos los riesgos residuales

y ofrecer las instrucciones apropiadas acerca de cómo operar la máquina de forma segura. Debe ser

accesible y mantenible. La documentación para el usuario se suministra con la máquina.

Paso 7: Demostración de la conformidad

Antes de comercializar una máquina, el fabricante debe asegurarse de que se cumplen los EHSR, lo

cual se presupone dada su conformidad con las normas armonizadas. También debe probarse que

la combinación de partes relativas a la seguridad cumple los requisitos defi nidos para cada función

de seguridad.

Para probar la conformidad con la Directiva Máquinas, debe demostrarse que:

– La maquinaria cumple los Requisitos Esenciales de Seguridad y Salud (EHSR) relevantes

definidos en la Directiva Máquinas.

– La maquinaria cumple los requisitos de otras Directivas relacionadas. (La conformidad con

los dos requisitos anteriores puede garantizarse si se cumple con lo estipulado en las normas

armonizadas correspondientes).

– El documento técnico está actualizado y disponible.

– El documento técnico demuestra que la máquina es conforme con las normas de la Directiva

Máquinas.

– Se han aplicado los procedimientos de evaluación de la conformidad. (Los requisitos especiales para

las máquinas enumeradas en el Anexo IV de la Directiva Máquinas se cumplen cuando es necesario).

– Se ha emitido la declaración de conformidad CE y se suministra con la máquina.

El documento técnico debe incluir el diseño, la fabricación y el funcionamiento de la maquinaria en

la medida en que sea necesario para demostrar su conformidad. Si desea más información sobre

el contenido del documento técnico, consulte el Anexo VI de la Directiva Máquinas 98/37/CE, o el

Anexo VII de la nueva Directiva Máquinas 2006/42/CE tras la entrada en vigor de ésta última.

Una vez se ha establecido la conformidad, se coloca el marcado CE. Se presupone que la

maquinaria con el marcado CE, que además va acompañada de una declaración de conformidad

CE, cumple los requisitos de la Directiva Máquinas.

Si desea más información

sobre la documentación

requerida y su naturaleza,

consulte los EHSR en el Anexo

I de la Directiva Máquinas.


Glosario

CCF (Common Cause Failure), Fallo por causa común

Situación en la que varios subsistemas fallan a causa de un único

evento. Todos los fallos son causados por este evento y no son

consecuencia entre sí.

Daño

Daño a la salud o lesión física.

DC (Diagnostic Coverage), Cobertura del diagnóstico

Efectividad de la monitorización de los fallos de un sistema

o subsistema. Es la relación entre la tasa de fallos peligrosos

detectados y la tasa de fallos peligrosos totales.

EHSR (Essential Health and Safety Requirements),

Requisitos Esenciales de Seguridad y Salud

Requisitos que la maquinaria debe satisfacer para ajustarse a la

Directiva Máquinas de la Unión Europea y obtener así el marcado

CE. Estos requisitos se enumeran en el Anexo I de la Directiva

Máquinas.

EN

Siglas de Norma Europea (‘EuroNorm’).

Función de seguridad

Función diseñada para aumentar la seguridad de una máquina

cuyo fallo puede provocar un aumento inmediato del riesgo.

IEC (International Electrotechnical Commission),

Comisión Electrotécnica Internacional

Organización mundial para la normalización que se compone de

comités electrotécnicos nacionales.

www.iec.ch

ISO (International Organization for Standardization),

Organización Internacional para la Normalización

Federación internacional de organismos nacionales de

normalización.

www.iso.org

Marcado CE

El marcado CE es una marca por la cual el fabricante indica que

el producto es conforme con los requisitos aplicables establecidos

en la legislación de armonización de la UE que establece las

condiciones para su uso; (NLF R1 16).

MTTFd (Mean Time To dangerous Failure), Tiempo medio

hasta un fallo peligroso

Previsión de tiempo medio hasta que se produce un fallo peligroso.

Norma armonizada

Por norma armonizada entendemos aquella norma que ha

sido adoptada por alguno de los organismos de normalización

europeos que se enumeran en el Anexo I de la Directiva 98/34/CE

sobre la base de una petición por parte de la Comisión, conforme

al Artículo 6 de esta Directiva; (NLF R1 9).

Peligro

Fuente potencial de daños.

PFHd (Probability of dangerous Failure per Hour),

Probabilidad de fallo peligroso por hora

Probabilidad media de que se produzca un fallo peligroso en una (1)

hora. La PFHd es el valor que se utiliza para determinar el valor del SIL

o del PL de una función de seguridad

PL (Performance Level), Nivel de prestaciones

Niveles (a, b, c, d, e) que especifi can la capacidad de un

sistema de seguridad de efectuar una función de seguridad bajo

condiciones previsibles.

PLr

Nivel de prestaciones requerido (basado en la valoración de riesgos).

Riesgo

Combinación de hasta qué punto es posible que se produzca el

daño y lo grave que puede resultar.

Seguridad

No existencia de un riesgo inaceptable de lesión física o de daño

a la salud, ya sea de forma directa o indirecta como resultado del

daño a la propiedad o al entorno.

Seguridad funcional

La seguridad funcional es la parte de la seguridad en su conjunto

que depende del correcto funcionamiento de un sistema o equipo

al responder a la información que recibe.

SIL (Safety Integrity Level), Nivel de integridad de la seguridad

Niveles (1, 2, 3, 4) que especifi can la capacidad de un sistema

de seguridad eléctrico de efectuar una función de seguridad bajo

condiciones previsibles. En maquinaria, sólo se utilizan los niveles 1-3.

SILCL (SIL Claim Limit), Límite de solicitud de SIL

Nivel máximo de integridad de la seguridad (SIL) que puede

reclamarse para un sistema de seguridad eléctrico, teniendo

en cuenta las restricciones en la arquitectura y la integridad de

seguridad sistemática.

Subsistema

Componente de una función de seguridad que tiene su propio

nivel de seguridad (SIL/PL) que afecta al nivel de seguridad de

toda la función de seguridad.Si alguno de los subsistemas falla,

también fallará toda la función de seguridad.

Otras referencias:

Guía técnica n.º 10 Doc.N.º: 3AVA000048753 rev.B

Manual de seguridad Doc.N.º: 1SAC103201H0201

Aproximación a la seguridad funcional y la fiabilidad - Componentes eléctricos y electromecánicos Doc.N.º: 2CMT002568

Datos de seguridad funcional y fiabilidad Doc.N.º: 2CMT00254

3A

UA

00

00

08

18

20

RE

V A

ES

26

.5.2

01

0

Contacte con nosotros

© Copyright 2010 ABB. Todos los derechos reservados. Especifi caciones sujetas a cambios sin previo aviso.

www.abb.com/drives

www.abb.com/lowvoltage

www.abb.com/motors&generators

www.abb.com/plc

www.abb.es

Seguridad y seguridad funcional Guía general

Documents

Transcript of Seguridad y seguridad funcional Guía general